Microsoft hat dem in Windows 10 enthaltenen Windows Defender ein zusätzliches Sicherheitsfeature spendiert. Der Defender kann ab Windows 10 V1703 in einer geschützten Sandbox-Umgebung ausgeführt werden.
Anzeige
Zum Hintergrund: Virenscanner wie der Windows Defender laufen mit Systemrechten. Gibt es Schwachstellen in diesen Modulen, kann Schadsoftware dies ausnutzen und mit Systemrechten quasi alles tun. Microsoft patcht zwar regelmäßig gefundene Schwachstellen im Defender bzw. in der Antimalware Engine. Aber eine Isolierung dieser Komponenten in einer Sandbox ist schon hilfreich.
Zum 26. Oktober 2018 hat Microsoft die neue Funktion im Blog-Beitrag Windows Defender Antivirus can now run in a sandbox vorgestellt. Laut Microsoft hat man mit dem 'Windows Defender Antivirus' einen neuen Meilenstein erreicht. Die integrierten Antivirusfunktionen von Windows 10 können, als erste vollständige Antivirenlösung nun in einem Sandkasten ausgeführt werden.
Warum den Defender sandboxen?
Auch wenn Microsoft versucht, den Defender möglichst sicher gegen Angriffe zu machen, haben Sicherheitsforscher innerhalb und außerhalb von Microsoft Wege gefunden, wie ein Angreifer Schwachstellen in den Inhaltsparsern von Windows Defender Antivirus ausnutzen kann, um eine beliebige Codeausführung zu ermöglichen. Bisher wurden aber keine solchen Angriffe in freier Wildbahn beobachtet.
Die Ausführung von Windows Defender Antivirus in einer Sandbox soll sicherstellen, dass sich böswillige Aktionen im unwahrscheinlichen Fall, dass der Defender kompromittiert wird, auf die isolierte Umgebung beschränken. Damit wäre der Rest des Systems vor Schäden geschützt.
Implementierung der Sandbox
Ein Problem bei Antivirussystemen in einer Sandbox-Umgebung ist die Leistung. Diese darf gegenüber einer Ausführung im Kernel nicht sinken. Man hat daher die Module so aufgeteilt, dass es einen privilegierten Prozess für die Kontrolle und einen in der Sandbox laufenden Prozess zur Analyse von Daten auf Schadfunktionen gibt. Im Blog-Beitrag Windows Defender Antivirus can now run in a sandbox stellt Microsoft die Ansätze vor, wie man diese Herausforderungen gelöst zu haben glaubt.
Die Sandbox für den Defender aktivieren
Microsoft ist einerseits dabei, diese Funktion schrittweise für Windows Insider zu aktivieren und das Feedback kontinuierlich zu analysieren, um die Implementierung zu verfeinern. Mit Windows 10 19H1 wird das Ganze dann wohl im Frühjahr 2019 allgemein freigegeben (wenn nichts dazwischen kommt). Aber ab Windows 10 V1703 können Benutzer bereits den Sandbox-Modus für den Windows Defender aktivieren, indem eine Umgebungsvariable mit:
setx /M MP_FORCE_USE_SANDBOX 1
gesetzt und die Maschine dann neu gestartet wird. Kontrolliert man das anschließend im Task-Manager, sollte ein Content-Prozess MsMpEngCP.exe und der Antimalware-Dienst MsMpEng.exe zu sehen sein.
Anzeige
(Quelle: Microsoft, Zum Vergrößern klicken)
Der Content-Prozess MsMpEngCP.exe läuft dann mit niedriger Priorität in der Sandbox, während der Dienst MsMpEng.exe mit Systemrechten ausgeführt wird. Weitere Details lassen sich im Blog-Beitrag Windows Defender Antivirus can now run in a sandbox nachlesen. Deutschsprachige Beiträge finden sich bei den Kollegen von Dr. Windows und deskmodder.de.
Ergänzung: Es muss wirklich ein Neustart erfolgen, nur Herunterfahren und später starten reicht wohl nicht. Ein Bug verhindert dann das Aktivieren des Defender Sandbox-Modes, wie Bleeping Computer hier berichtet.
2015
